Nel corso della sua riunione dell’otto e nove Ottobre, il Comitato Europeo per la Protezione dei Dati ha emanato, ai sensi dell’art. 70 GDPR, le linee guida per il trattamento dati svolto da servizi online sulla base di un contratto, previa la corretta considerazione, che senza fornire alla controparte contrattuale i propri dati personali, il rapporto non può assolutamente instaurarsi. Esistono situazioni in cui un contratto può perfezionarsi ed essere eseguito senza fornire i dati personali, basti pensare all’acquisto di un caffè al bar, ma già dall’emissione dello scontrino fiscale o al pagamento con carta di credito ecco che emerge come una delle parti, almeno, venga in possesso di un dato personale.

Ma, al di là di esempi accademici, il vero problema del trattamento e protezione dei dati emerge quando si parla di servizi resi online, nel mondo del web in cui i dati sono sempre più veloci ed in cui la loro protezione diviene fondamentale. E, in ogni caso, in queste fattispecie, non è possibile concludere un contratto e le connesse transazioni senza fornire dati. Il Comitato ha inoltre posto in evidenza l’incremento dell’uso dei sistemi online anche nella quotidianità, tramite app sempre più aggiornate; aggiungiamo che lo sviluppo dei sistemi di IoT (internet of Things) non potrà che far aumentare il numero delle relazioni online con ulteriori necessità nel settore della protezione dei dati.

Da qui il Comitato ha tratto la decisione di proporre linee guida che siano conformi al disposto dell’art. 6 GDPR, che prevede il consenso contrattuale come una delle basi lecite per il trattamento. Peraltro detto trattamento deve essere effettuato nel pieno rispetto dei principi del GDPR e, in particolare, di quello della minimizzazione dell’utilizzo sulla base di un principio di equità e del riconoscimento delle ragionevoli aspettative che la controparte ha dell’utilizzo dei propri dati e tenendo conto dei potenziali effetti negativi dello stesso.

Pertanto, per una corretta applicazione dell’art. 6, e per avere quindi la possibilità di trattare dati, è necessario valutare se gli stessi siano o meno obiettivamente necessari per concludere un contratto e in una fase precontrattuale, differenziando così i due momenti. Attenzione quindi, specialmente nella predisposizione di preventivi online, a chiedere dati identificativi non necessari che, addirittura, potrebbero essere quelli identificativi della persona. Il Comitato ha posto in evidenza come la possibilità di concludere e negoziare contratti online consenta di chiedere e ottenere dati ultronei rispetto a quelli necessari al rapporto negoziale e, di conseguenza, violare il principio di minimizzazione.

L’attenzione viene pertanto richiamata anche sullo scopo per cui i dati vengono richiesti; scopo che, si deduce, deve essere contenuto nelle informative e ben chiarito, indicando anche le forme di trattamento del dato. Attenzione quindi a richiedere, specialmente online, consensi che esulino da una rigorosa applicazione dell’art. 6.1(b) del GDPR, nonché ad inserire nelle informative richiami fuorvianti secondo cui i dati richiesti siano indispensabili per la conclusione di un contratto. Ogni Titolare dovrà quindi individuare una diversa base di legalità per ottenere altri dati. Nel calzante esempio usato dal Comitato, laddove l’acquirente di un prodotto online decidesse di farselo spedire fermo posta in un negozio, sarebbe ultroneo e contrario al GDPR, richiedere l’indirizzo di residenza. Allo stesso modo, per la conclusione ed esecuzione del contratto non serve avere un feedback sul livello di soddisfazione del cliente. Pertanto una richiesta in tal senso non può trovare protezione sulla base del contratto ma richiede un diverso specifico consenso. Ergo di una diversa “spunta” sul modulo predisposto online.

Tra gli altri aspetti evidenziati possiamo citare la conservazione dei dati oltre il termine di conclusione del contratto ai fini della fatturazione e dei derivanti oneri fiscali. Il Comitato, molto opportunamente, rileva che, a questo riguardo, la base del trattamento non è più il consenso contrattuale, bensì l’adempimento di un obbligo di legge. Tanti piccoli aspetti che devono divenire linee guida nell’elaborazione di contratti e informative. Si tenga in ogni caso presente che queste linee guida, precipuamente emesse con il pensiero rivolto ai contratti on line, ben possono trovare applicazione in ogni ipotesi di conclusione di contratti.